تتابع الإحاطة الأمنية اليوم ثلاث إشارات واضحة: إصلاح Webex SSO من Cisco الذي ما زال يتطلب إجراء من العملاء، وبوتنت PowMix الذي كشفته Talos ويستهدف العاملين في التشيك بسلوك C2 متخفٍ، ومنطق التخريب الصناعي في ZionSiphon ضد ضوابط الكلور والضغط في قطاع المياه.
الخلاصة السريعة: نمط هذا الصباح هو إساءة استخدام الثقة عبر ثلاث طبقات في وقت واحد: البنية الخاصة بالهوية، وسلاسل الاستهداف الموجهة إلى الموظفين، ومنطق التحكم الصناعي. لا ينبغي لفرق الدفاع التعامل معها كمسارات منفصلة.
قامت Cisco بإصلاح CVE-2026-20184 في Webex Services، وهو خلل في التحقق من الشهادات داخل تكامل SSO مع Control Hub قد يسمح لمهاجم غير موثّق بانتحال شخصية المستخدمين. لكن إصلاح الخدمة وحده لا يكفي، إذ يجب على المؤسسات التي تستخدم SSO رفع شهادة SAML جديدة لمزوّد الهوية الخاص بها لتجنّب الانقطاع وإغلاق الفجوة فعليًا.
كشفت Cisco Talos عن PowMix، وهو بوتنت غير موثق سابقًا ونشط منذ ديسمبر 2025 على الأقل ويستهدف القوى العاملة في جمهورية التشيك. يستخدم البرمجية الخبيثة فواصل beacon عشوائية، ويخفي بيانات heartbeat المشفرة داخل مسارات URL تبدو كأنها حركة REST API، ويمكنه تحديث نطاق C2 ديناميكيًا. كما رصدت Talos تداخلات تكتيكية مع نشاط ZipLine السابق وبنية C2 تعتمد على Heroku.
يقول الباحثون إن العينة الحالية من ZionSiphon معطلة بسبب خطأ تحقق، لكن النية واضحة وخطيرة. تتحقق البرمجية من نطاقات IP إسرائيلية وبرامج معالجة المياه ثم تحاول تعديل جرعة الكلور، وحالة الصمامات، وحالة المضخات، وضغط التناضح العكسي. كما تتضمن آلية انتشار عبر USB، وهو أمر مهم في البيئات الصناعية التي ما زالت تعتمد على الوسائط القابلة للإزالة.
الخلاصة: أقوى درس اليوم بسيط: المهاجمون لا يهتمون إن كانت نقطة الضعف في الهوية أو في سير عمل المستخدم أو في التحكم الفيزيائي بالعمليات. إذا كانت تحمل ثقة، فهي هدف.
تساعد KENSAI الفرق على التحقق من مسارات الهوية المكشوفة، وسلاسل الهجوم المدفوعة بالتصيد، والمخاطر التشغيلية الحقيقية قبل أن تتحول الثقة إلى اختراق.
ابدأ فحصًا مجانيًا →ابقَ يقظًا.
🗡️ KENSAI Security Team